Email Security

    Erkennen und Verhindern eines TA551 E-Mail-Spamangriffs

    TA551 E-Mail-Spam-Angriffe sind hinterhältig und sehr schwer zu erkennen. Nur durch eine gründliche Analyse der E-Mails und eine verbesserte AV-Software konnten sie abgewehrt werden.

    by Samantha Clarke
    1210303038.jpg

    Wichtige Punkte

    • Wie ein Chamäleon passt sich ein TA551-Angriff an seine Umgebung an und ist daher ohne fortschrittliche Analyseverfahren nur schwer zu erkennen.
    • Die mit Malware verseuchten E-Mails nutzen eine Vielzahl von Techniken, wie z. B. gestohlene Inhalte und SMTP-Zugangsdaten, um legitim zu erscheinen und ihre Opfer zu täuschen.
    • Die Bedrohungsforscher von Mimecast haben die Bedrohung genau analysiert (weitere Einzelheiten finden Sie im aktuellen Whitepaper TA551/Shathak Threat Research ) und eine zweigleisige Strategie zu ihrer Abwehr entwickelt.

    Die anhaltende Welle von TA551-E-Mail-Spam-Angriffen - auch bekannt als Shathak-Bedrohungskampagne - hat E-Mail-Sicherheitsanbieter vor einige besonders unangenehme Herausforderungen gestellt.

    TA551 ist ein E-Mail-basiertes Malware-Verbreitungsschema, das vor allem auf Englisch sprechende Personen abzielt, aber auch auf Japaner, Italiener, Deutsche und einige andere Sprachen. Der TA551-Angriff wurde erstmals Ende 2019 beobachtet und zielt darauf ab, mehrere Arten von Malware zu implantieren, darunter Ursnif, IcedID und Valak. Dabei handelt es sich um Trojaner und Malware-Loader, die zum Auslesen von Bankdaten verwendet werden. Ein Großteil der Aktivitäten der TA551-Täter konzentriert sich auf den Finanzsektor.

    Typisch für diese Art von Kampagnen ging das Bedrohungsniveau im Januar etwas zurück, da die Geschäftsaktivitäten zu Beginn des neuen Jahres nachließen. Während des gesamten Dezembers entdeckte das Mimecast Threat Center zwischen 2.000 und 7.000 E-Mails pro Tag, die den Merkmalen der TA551-Angriffe entsprachen. Während die Identität der Angreifer und das volle Ausmaß ihrer Motive unbekannt sind, scheint die zielgerichtete und konsistente Art des Spoofings das Werk professioneller Spammer zu sein, die zweifellos über umfangreiche Ressourcen verfügen.

    Warum die TA551-Bedrohung so heimtückisch ist

    Was diese E-Mail-Spam-Kampagne so heimtückisch macht, ist der chamäleonartige Charakter der Bedrohung. Keine zwei Angriffe sind identisch, und die E-Mails werden aus gestohlenen Inhalten zusammengesetzt, so dass sie ihren Opfern sowohl relevant als auch legitim erscheinen.

    Und so funktioniert es:

    • Die Spammer verschicken eine E-Mail mit einem Zip-Dateianhang. Die Datei besteht aus einem MS Word-Dokument oder etwas Ähnlichem und ist mit Malware in Form von Makros infiziert. Sobald der Empfänger sie öffnet, werden die Makros ausgeführt und infizieren das Gerät des Benutzers.
    • Die Zip-Dateien sind passwortgeschützt, was das Scannen mit Antiviren-Software erheblich erschwert. Die Passwörter sind randomisiert und unterscheiden sich von E-Mail zu E-Mail.

    Der Empfänger erhält das Kennwort im Hauptteil der E-Mail. Hier ein Beispiel aus dem wirklichen Leben, wie sich eine solche E-Mail liest: "Hallo. Hier sind die wichtigen Informationen für Sie. Siehe die Anlage zur E-Mail. Kennwort 1636721."

    • Viele der angehängten Dateien sind nach dem Zielunternehmen benannt. Bei XYZ Co. lautet der Dateiname zum Beispiel "XYZ.zip". Dies lässt die E-Mail für den Empfänger glaubwürdiger erscheinen.
    • Die Spammer verwenden gestohlene SMTP-Zugangsdaten, um die E-Mail zu versenden, so dass es scheint, als käme sie von einer legitimen Quelle. Dies macht auch die Erkennung anhand von Infrastrukturparametern recht schwierig, da alle E-Mails von legitimen Anbietern zu stammen scheinen.
    • In Anbetracht der enormen Ressourcen, die ihnen zur Verfügung zu stehen scheinen, müssen die Täter nie etwas wiederverwenden - was die Erkennung der E-Mails erleichtern würde. Sie scheinen in der Lage zu sein, ständig neue Anmeldedaten, eine neue E-Mail-Adresse, neue Inhalte usw. zu verwenden.
    • Die E-Mails sind kontextabhängig. Die Betreffzeilen, der Inhalt und die angehängten Dateien stimmen mit dem Unternehmen, der Funktion und den beruflichen Kontakten des Empfängers überein. Sie können auch auf aktuelle Projekte verweisen, an denen das beabsichtigte Opfer beteiligt ist.

    Wenn man all dies zusammenzählt - die Verwendung kompromittierter Anmeldedaten, das Ausnutzen der Namen und der Glaubwürdigkeit der Zielunternehmen, die kontextabhängigen E-Mails, die aus gestohlenen Informationen zusammengestellt werden - wird klar, warum die Mitarbeiter so vieler Unternehmen dazu verleitet wurden, diese mit Malware verseuchten Anhänge zu öffnen. Es gibt nichts an den E-Mails oder ihrem Inhalt, was den Empfänger darauf aufmerksam macht, dass etwas nicht in Ordnung ist, was es sehr einfach macht, in die Falle der Spammer zu tappen.

    Die Strategie von Mimecast zur Bekämpfung von TA551

    Die Bedrohungsforscher von Mimecast haben die TA551-Kampagne genau analysiert (einen tieferen Einblick in die Ergebnisse finden Sie in unserem aktuellen Whitepaper: TA551/Shathak Threat Research ) und eine zweigleisige Strategie entwickelt, um die Kampagne mit einer Kombination von Erkennungstechniken auf unserer Anti-Virus- und Anti-Spam-Ebene zu bekämpfen.

    Die Quintessenz

    TA551/Shathak ist eine heimtückische E-Mail-basierte Spam-Kampagne, die Unternehmensnetzwerke kompromittiert. Die E-Mails und ihre mit Malware verseuchten Anhänge können einer genauen Prüfung standhalten und sind äußerst schwer zu erkennen. Als Reaktion darauf hat Mimecast diese Bedrohung genau analysiert, was es uns ermöglicht hat, Antivirensoftware und fortschrittliche Erkennungsfunktionen zu entwickeln, die in der Lage sind, sie zu besiegen.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang